做好准备将 VPC Lattice 目标组附加到您的自动扩缩组 - Amazon EC2 Auto Scaling
安全组:入站和出站规则限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

做好准备将 VPC Lattice 目标组附加到您的自动扩缩组

将 VPC Lattice 目标组附加到您的自动扩缩组之前,您必须满足以下先决条件:

  • 您必须已经创建了VPC Lattice服务网络、服务、侦听器和目标组。有关更多信息,请参阅 VPC Lattice 用户指南中的以下主题:

  • 目标组必须与您的 Auto Scaling 组位于相同 Amazon Web Services 账户的 VPC 和区域。

  • 目标组必须指定的 instance 目标类型。使用 Auto Scaling 组时,无法指定 ip 的目标类型。

  • 您必须拥有足够的 IAM 权限才能将目标组附加到自动扩缩组。以下示例策略显示了附加和分离目标组所需的最低权限。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:AttachTrafficSources",
                "autoscaling:DetachTrafficSources",
                "autoscaling:DescribeTrafficSources",
                "vpc-lattice:RegisterTargets",
                "vpc-lattice:DeregisterTargets"
            ],
            "Resource": "*"
        }
    ]
}

  • 如果您的自动扩缩组的启动模板不包含 VPC Lattice 的正确设置,例如兼容的安全组,则必须更新启动模板。修改启动模板时,现有实例不会使用新设置进行更新。要更新现有实例,您可以启动实例刷新以替换实例。有关更多信息,请参阅 使用实例刷新来更新 Auto Scaling 组中的实例

  • 在您的自动扩缩组上启用 VPC Lattice 运行状况检查之前,您可以配置基于应用程序的运行状况检查,以验证您的应用程序是否按预期响应。有关更多信息,请参阅 VPC Lattice 用户指南中的目标群体的运行状况检查

安全组:入站和出站规则

安全组用作相关 EC2 实例的防火墙,可在实例级别控制入站和出站的流量。

注意

网络配置非常复杂,我们强烈建议您创建一个新的安全组以便与 VPC Lattice 结合使用。如果您需要与他们联系 Amazon Web Services Support ,它还可以更轻松地为您提供帮助。以下各节基于您遵循此建议的假设。

要详细了解如何为 VPC Lattice 创建可与自动扩缩组一起使用的安全组,请参阅 VPC Lattice 用户指南中的使用安全组控制流量。要解决流量问题,请查阅 VPC Lattice用户指南以获取更多信息。

有关如何创建安全组的信息,请参阅《Amazon EC2 用户指南》中的创建安全组并使用下表确定要选择的选项。

选项

名称

 一个很容易记住的名字。

描述

 有关描述可帮助您识别安全组。

VPC

与自动扩缩组相同的 VPC。

入站规则

当您创建一个安全组时,它没有入站规则。在您向安全组添加入站规则之前,不允许来自 VPC Lattice 服务网络内客户端的入站流量传输到您的实例。

要允许 VPC Lattice 服务网络中的客户端连接到您的自动扩缩组中的实例,必须正确设置您的自动扩缩组的安全组。在这种情况下,为其提供入站规则,允许来自 VPC Lattice Amazon 托管前缀列表名称的流量,而不是特定 IP 地址的流量。VPC Lattice 前缀列表是 VPC Lattice 以 CIDR 表示法使用的一系列 IP 地址。有关更多信息,请参阅 Amazon VPC 用户指南中的使用Amazon托管前缀列表

有关如何向安全组中添加规则的信息,请参阅 Amazon VPC 用户指南中的为您的安全组添加规则并使用下表确定要选择的选项。

选项

HTTP 规则

类型:HTTP

Source: com.amazonaws.region.vpc-lattice

HTTPS 规则

类型:HTTPS

Source: com.amazonaws.region.vpc-lattice

安全组是有状态的:它允许来自VPC Lattice服务网络中客户端的流量传输到您的自动扩缩组中的实例,然后将响应发回给之前离开的客户端。

出站规则

默认情况下,安全组包含允许所有出站流量的出站规则。您可以选择删除此默认规则并添加出站规则以满足特定的安全需求。

限制

  • 不支持混合实例组。如果您尝试将 VPC Lattice 目标组附加到采用混合实例策略的自动扩缩组,则会收到错误消息目前,具有混合实例的自动扩缩组无法与 VPC 莱迪思服务集成。这是因为负载均衡算法会将负载均匀地分配到所有可用资源上,并假设实例足够相似,可以处理相等的负载。